Frage:
Gibt es einen Unterschied zwischen HTTP und HTTPS, wenn ich meine private Internetverbindung verwende?
I am the Most Stupid Person
2017-08-24 08:41:23 UTC
view on stackexchange narkive permalink

Zunächst einmal bin ich Webentwickler und kein Sicherheitsexperte. Ich habe viele Artikel über den Unterschied zwischen HTTPS und HTTP gelesen, einschließlich dieser Website.

Die Grundidee, die ich von ihnen erhalten habe, ist die Verwendung HTTPS Alle Dinge werden auf der Clientseite verschlüsselt und dann an den Server gesendet. (Bitte korrigieren Sie mich, wenn ich falsch liege.)

Selbst unser Netzwerkadministrator oder eine andere Person im Netzwerk kann nichts bekommen.

Wenn ich benutze Gibt es bei meinem Laptop zu Hause (vertrauenswürdiges Netzwerk) einen Vorteil bei der Verwendung von HTTPS gegenüber HTTP ?

In der heutigen Zeit können Sie Ihrem ISP nicht vertrauen.Ihr ISP kann alles sehen, was Sie an einen Server senden, weil * Sie es an ihn gesendet haben * - ein bisschen wie die Post Ihre Briefe lesen könnte, wenn sie wollten.
Sprechen Sie über die Verwendung einer Website auf demselben Computer wie Ihr Browser, einer auf einem anderen Computer in Ihrem Netzwerk oder einer im Internet insgesamt?Die meisten Antworten hängen von Ihrer Wahl des Netzwerks ab.
Übrigens, wenn Sie Geräte verwenden, die von Ihrem Arbeitgeber bereitgestellt werden, können diese (und wahrscheinlich auch) [den SSL-Verkehr überwachen] (https://security.stackexchange.com/a/54180/88532). Im Wesentlichen können sie die Zertifikate fälschenfür jede Website, solange sie ihre gefälschten Zertifikate (oder gefälschten Zertifizierungsstellen) im vertrauenswürdigen Zertifikatspeicher Ihres Betriebssystems installieren.
Sie haben keine sichere Leitung zum Server, auch nicht von zu Hause aus.In der heutigen Zeit versuchen alle, Ihre Anfragen zu beantworten, sogar Ihre ISPs.Und Ihre Verbindung kann auch von Orten hüpfen, die weitaus weniger vertrauenswürdig sind als Ihr ISP.
@immibis Eher wie "könnte Ihre Postkarten lesen."Um den Inhalt des unverschlüsselten IP-Verkehrs zu lesen, müssen Sie nicht einmal einen Umschlag öffnen, sondern ihn nur im Klartext auf ihren Leitungen und Routern anzeigen.
Relevant für [webmasters.se]: [Jetzt SSL vor Ort erzwingen?] (Https://webmasters.stackexchange.com/q/59770/10915) und [Welche Ereignisse verursachten eine Massenmigration zu HTTPS?] (Https: //webmasters.stackexchange.com/q/103166/10915) und [Was bringt es, eine Site zum Laden über SSL (HTTPS) zu zwingen?] (https://webmasters.stackexchange.com/q/96238/10915) und wahrscheinlich[ein anständiger Teil ihres \ [https \] -Tags] (https://webmasters.stackexchange.com/questions/tagged/https).
https://www.eff.org/https-everywhere kann dazu beitragen, die Verwendung von Https beim Surfen zu maximieren
Die Frage von @jpaugh ist von hoher Relevanz.Wenn Sie nur HTTP verwenden, um beispielsweise mit der Konfigurationsseite Ihres Home Media Servers zu kommunizieren, ist dies wahrscheinlich kein Problem, es sei denn, Sie haben einen ungesicherten Wi-Fi-Zugangspunkt oder andere nicht vertrauenswürdige ZugangspunkteIhr Heimnetzwerk (Hinweis: Dies kann auch Ihren vom ISP bereitgestellten Router umfassen!).
* "Wenn ich meinen Laptop zu Hause benutze, gibt es einen Vorteil bei der Verwendung von HTTPS gegenüber HTTP?" *.Ja, die zwischen Ihnen und dem Server gesendeten Daten sind verschlüsselt, sodass niemand in der Mitte, wer auch immer er ist, sie nicht sehen kann, ohne die Verschlüsselung zu unterbrechen.Außerdem sind Sie sicher, dass die Daten, die Sie erhalten haben, von dem gewünschten Server stammen.
Verbunden?https://security.stackexchange.com/questions/153797/should-web-applications-that-are-only-accessible-from-a-lan-be-held-to-the-same
@immibis: Ich würde behaupten, Sie liegen falsch, weil Sie Ihrem ISP * vertrauen * können, dass er den Datenverkehr nicht manipuliert, und mangelnde Manipulation (* nicht * mangelndes Snooping) ist alles, was Sie benötigen, um die volle Sicherheit zu gewährleisten.Das eigentliche Problem ist die Tatsache, dass sich neben den unmittelbaren ISPs mehr Entitäten zwischen Ihnen und dem Zielserver befinden.
Wenn ich Ihr Netzwerkadministrator bin, bin ich mir ziemlich sicher, dass ich alles abfangen kann.
@Mehrdad Ich meine, Sie können ihnen ** vertrauen ** (Sie sind physisch dazu in der Lage), aber Sie würden sich irren (sie sind nicht vertrauenswürdig).Es ist bekannt, dass einige ISPs beispielsweise zusätzliche Anzeigen schalten.
@immibis: Ja, mir sind Anzeigen bekannt (in [einem anderen Kommentar] (https://security.stackexchange.com/questions/168089/is-there-any-difference-between-http-and-https-when-using-my)-home-own-internet? noredirect = 1 # comment321045_168205) Ich sagte "böswillige Manipulation", um dies zu erklären, sowie die Tatsache, dass es sich um * home * ISPs handelt, nicht um Mobilfunkanbieter) - aber das ist irrelevant, da das Einfügen von Anzeigen in der Übersicht weit davon entfernt ist, heimlich Anmeldeinformationen zu fälschen und sich stillschweigend als die andere Partei auszugeben.Eines ist ein sichtbares Ärgernis, das andere ist ein schweres Verbrechen.
@Mehrdad Es sind Heim-ISPs, die dies tun (getan haben?).Und manchmal brachen die injizierten Anzeigen die Webseiten, in die sie injiziert wurden.Auch wenn Sie nicht besonders besorgt über Manipulationen sind, ist die Tatsache, dass sie Dinge kaputt machen, wenn sie können, ein guter Grund, HTTPS zu verwenden.
@immibis: Huh, ich wusste nicht, dass ISPs zu Hause das getan haben, danke dafür.Ja, ich meine, es ist sicherlich besser, HTTPS zu verwenden, daran besteht kein Zweifel.
@immibis und deshalb muss das Anheften von Zertifikaten weiter verbreitet werden
@danielf.Tun sie das jetzt für HTTPS-Sites und müssen Sie ihr Zertifikat installieren?
https://en.m.wikipedia.org/wiki/HTTP_Public_Key_Pinning Sie können den Browsern anweisen, öffentliche Schlüssel mithilfe der richtigen http-Header zu pinnen.Es ist für den Benutzer unsichtbar, der Browser erledigt es für Sie
Sechs antworten:
Mike Ounsworth
2017-08-24 09:17:14 UTC
view on stackexchange narkive permalink

TLS bietet drei Dinge:

  • Vertraulichkeit: dass niemand den Verkehr zwischen Ihnen und facebook.com (einschließlich des Mannes) sehen kann am Nebentisch bei Starbucks, Ihrem ISP, einige skizzenhafte Netzwerkgeräte im Rechenzentrum COUGH NSA , niemand).
  • Integrität: dass niemand Änderungen vornimmt die Nachrichten, während sie zwischen Ihnen und facebook.com übertragen werden (dies unterscheidet sich von der Vertraulichkeit, da Sie bei einigen Arten von Angriffen die Nachricht auf böswillige Weise ändern können, auch wenn Sie die Nachrichten nicht kennen ).
  • Authentifizierung: dass Sie mit dem authentischen facebook.com -Server sprechen, nicht mit einer gefälschten Version davon.

Die Grundidee, die ich von ihnen erhalten habe, ist, dass bei Verwendung von https alle Dinge clientseitig verschlüsselt und dann an den Server gesendet werden. (Bitte korrigieren Sie mich, wenn ich falsch liege.)

Dies betrifft die Vertraulichkeits- und Integritätsteile, aber Sie vermissen den Authentifizierungsteil:

Um dies zu beweisen Sie sprechen nicht mit einem gefälschten Webserver.

Angenommen, ich habe eine Phishing-Version von Facebook eingerichtet und mich irgendwie in Ihren Heimrouter (einfach) oder ISP (schwieriger) gehackt, damit wann Wenn Sie facebook.com eingeben, wird meine IP-Adresse anstelle der tatsächlichen Adresse aufgelöst. Ich habe eine genaue Kopie des erwarteten Anmeldebildschirms erstellt und Sie geben Ihren Benutzernamen und Ihr Passwort ein. Muahaha! Jetzt habe ich Ihren Benutzernamen und Ihr Passwort.

Wie verhindert HTTPS dies? Antwort: mit Zertifikaten:

HTTPS green lock thingy

Wenn wir das Zertifikat in der Dev Tools> -Sicherheit meines Browsers öffnen, wird Folgendes angezeigt:

certificate

DigiCert wird als öffentlich vertrauenswürdige Zertifizierungsstelle (CA) bezeichnet. Tatsächlich ist DigiCert eine der Zertifizierungsstellen, denen Ihr Browser von Natur aus vertraut, da sein "Stammzertifikat" in den Quellcode Ihres Browsers eingebettet ist. Sie können die vollständige Liste der vertrauenswürdigen Stammzertifizierungsstellen anzeigen, indem Sie in den Browsereinstellungen nach "Zertifikaten" oder "Vertrauenswürdigen Wurzeln" oder Ähnlichem suchen.

Ihr Browser vertraut also von Natur aus DigiCert und über dieses Zertifikat DigiCert hat bestätigt, dass der Server, mit dem Sie sprechen, der echte facebook.com ist (da er den privaten Schlüssel hat, der mit dem Zertifikat übereinstimmt). Sie erhalten das grüne Vorhängeschloss und wissen, dass alles in Ordnung ist.

Nur zum Spaß machen wir einen gefälschten facebook.com . Ich habe diese Zeile zu meiner Hosts-Datei hinzugefügt, damit sie bei jeder Eingabe von facebook.com zur IP-Adresse von google.com umgeleitet wird: 

  209.85.147.138 facebook.com

Google, was machst du, wenn du versuchst, mein Facebook-Passwort zu stehlen? Gott sei Dank ist HTTPS hier, um mich zu beschützen! Mein Browser ist sehr unglücklich, da das vorgelegte Zertifikat (für google.com ) nicht mit der angeforderten URL übereinstimmt ( facebook.com ). Vielen Dank an HTTPS!

insecure connection when the cert does not match the URL

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Dieses Gespräch wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/64515/discussion-on-answer-by-mike-ounsworth-is-there-any-difference-between-http-and).
Realistischer bietet der Anti-Spoofing-Ansatz eine zusätzliche Schutzschicht gegen Phishing.Es ist nicht 100% perfekt, da die Leute Zertifikate erhalten haben, die sie vorher nicht haben sollten, aber im Allgemeinen sollen Zertifizierungsstellen eine Schutzschicht sein, damit Sie sicher sein können, dass eine Domain tatsächlich zu der Organisation gehört, die Sie erwarten.Und während jemand, der eine Website fälscht, schwierig und unwahrscheinlich sein kann, ist jeder sehr anfällig für Phishing.
@Kat vereinbart.Eine Sache, die ich am CA-System nicht mag, ist, dass es den Benutzer belastet, die richtige URL für das gesuchte Objekt zu kennen.Beispielsweise stellt eine Zertifizierungsstelle gerne ein Zertifikat für "googe.com" oder "bankofamerica.bank" aus, obwohl diese nicht zu der von Ihnen erwarteten Organisation gehören.Meine Großmutter würde definitiv darauf hereinfallen.
TriloByte
2017-08-24 12:48:30 UTC
view on stackexchange narkive permalink

Kurze Antwort:

HTTPS beabsichtigt, eine sichere Verbindung zwischen einer registrierten Website und ihrem Benutzercomputer herzustellen, damit Sie sicher sein können, dass die besuchte Website wirklich das ist, was Sie sind wollte besuchen, und die Daten werden während des Transports nicht erfasst / geändert.

Lange Antwort:

Wenn ich Sie richtig verstanden habe, lautet Ihre Grundidee: dass nur ein Netzwerkadministrator Ihre Aktivitäten überwachen kann und es zu Hause so etwas nicht gibt. Dies ist nicht der Fall.

Jede Person, Gruppe, Firma (ISP) oder jeder Staat kann den Transit sehen und ändern. und damit infizieren Sie Ihren Computer. Das Internet ist heutzutage eher eine Cyberkriegszone, in der die genannten Einheiten oft sogar ihre Verbündeten angreifen, um Informationen zu stehlen = Geld = Macht, Kontrolle zu erlangen, Menschen durch Hacking zu bedrohen oder physisch zu verletzen. Sogar staatliche Instrumente stehen Einzelpersonen auf dem Schwarzmarkt zur Verfügung. Permanente Tools / Malware überleben das Ändern der Festplatte, sodass sie Sie langfristig überwachen / schädigen können.

Das Problem mit https ist, dass es auch auf viele Arten gehackt werden kann, wodurch Sie einen falschen Eindruck bekommen Aus diesem Grund ist es wichtig, https zu verwenden, wann immer Sie können, und sich auch um die Systemsicherheit zu kümmern. Sie können Erweiterungen für Browser herunterladen, um Sie automatisch zu HTTPS-Sites zu leiten , wenn es möglich ist.

Ein spezifischerer Leckerbissenvektor: Internetfähige Geräte sind heutzutage im Haushalt im Überfluss vorhanden (Stereoanlagen, Fernseher, Kühlschränke, Telefone, sogar Zahnbürsten) - für viele von ihnen ist die Sicherheit eigentlich nicht brillant - theoretisch könnte ein Paket-Sniffer installiert werdenauf einem dieser Geräte, um Ihr Heimnetzwerk zu überwachen und zu protokollieren / an eine externe Quelle weiterzuleiten.
Oder mehr als nur schnüffeln.Unter Internet verstehen wir auch jede Netzwerkverbindung: Fernsehen, Telefon, Funkkabel oder auf dem Luftweg.Laut Fsecure bemüht sich ikea beispielsweise im Vergleich zu den anderen Herstellern tatsächlich um die Sicherheit.Smartcars sind ein etwas ernsthafteres Problem.Oft kommunizieren sogar "Assistenz" - oder "Lojack" -Software mit Servern, die nicht beschrieben sind.5% der Unternehmen und 20% der Regierungscomputer verwenden veraltete Betriebssysteme.Veraltete os "wirtschaftliche" Unternehmen + unverschlüsseltes Server-Telefonieren + "Verbesserung der Erfahrung" + iot = Sie zahlen, um ausspioniert / gehackt zu werden.
stevegt
2017-08-25 20:37:53 UTC
view on stackexchange narkive permalink

Die anderen Antworten sind bisher gut. Ich werde noch einen Blickwinkel hinzufügen: Das Internet ist ein lose verbundenes Netz von Routern; Ihr WLAN-Router zu Hause ist nur einer von ihnen. Jede HTTP-Verbindung, die Sie zu einem anderen Webserver im Internet herstellen, führt normalerweise über ein Dutzend Router, um dorthin zu gelangen. Dieser Pfad ändert sich abhängig von den Netzwerkbedingungen häufig. Sie können nicht vorhersagen, welche Router Sie verwenden werden. Jeder dieser Router gehört einer anderen Person oder Firma [1] und wird von dieser verwaltet.

Alle diese Personen haben die Möglichkeit, Ihre Daten im Verlauf zu überwachen. Sie können dies routinemäßig in nicht böswilligen Situationen im Verlauf der täglichen Fehlerbehebung tun, da dieses Netz von Routern eine ständige Überwachung und Verwaltung benötigt, damit es überhaupt läuft. Diese Bemühungen umfassen allein mehrere Berufsfelder. (Die Menschen, die sich für diese Berufsfelder entscheiden, sind in Bezug auf gute Sicherheit eher unnachgiebig und nehmen ihre soziale Verantwortung ernst, aber das einzige, was sie im praktischen Sinne aus Ihren Daten heraushält, ist ihr eigenes Gewissen und ihr Ruf.) P. >

Die Ausrüstung, Software und Funktionen sind also bereits vorhanden. Alles, was ein Bösewicht tun muss, ist, den Router oder das Überwachungssystem eines anderen zu kooptieren.

HTTPS-Verbindungen gehen denselben Weg, aber da sie verschlüsselt sind, kann nur der Administrator des Webservers den Klartextinhalt sehen. Die Router-Administratoren sehen nur, was wie zufälliges Rauschen aussieht. (Der Webserver selbst ist möglicherweise kompromittiert, aber das ist ein anderes Problem.)

[1] Wenn Sie selbst mit dem Befehl traceroute oder tracert spielen, wird dies angezeigt Sie erhalten einen Einblick, wie diese Pfade aussehen können.

Richtig - nicht nur der ISP kann Ihren Datenverkehr anzeigen!
Dies ist eigentlich die eigentliche Antwort auf die Frage.Der Rest erklärt nicht, was das reale Risiko ist.Ich vertraue darauf, dass ISPs den Datenverkehr nicht böswillig manipulieren, aber ich würde bestimmten vorgelagerten Organisationen nicht vertrauen, um dies nicht zu tun.
Jordan
2017-08-27 10:54:47 UTC
view on stackexchange narkive permalink

Bei HTTP fließen Informationen über diese Pipeline zwischen Ihrem Computer und dem Server:

enter image description here

Von links nach rechts: Ihr Computer, der Luftraum um Ihren Computer und Ihren WLAN-Router, Ihren Router, das Kabel zu Ihrer lokalen ISP-Box, Ihre lokale ISP-Box, ein riesiges Netzwerk von Geräten und Kabeln, von denen Sie nichts wissen und über die Sie keine Kontrolle haben, die lokale ISP-Box des Servers, Das Kabel zum Server und zum Server selbst.

Überall im roten Bereich können die Informationen abgerufen und manipuliert werden. Jeder, der eines der roten Kästchen kontrolliert, kann die Informationen beschnüffeln und manipulieren. Jeder kann eines der roten Rohre aufbrechen und Zugriff auf die durch ihn fließenden Informationen erhalten und daran herumschnüffeln oder manipulieren.

Ihre Informationen sind nur in den grünen und blauen Kästchen und Rohren sicher.

Mit HTTPS fließen Informationen durch diese Pipeline:

enter image description here

Ihr Computer und der Server richten eine virtuelle Pipe ein, die ' Lassen Sie sich nicht aufbrechen und führen Sie es durch alle Rohre und Kästen untereinander. Jetzt sind Ihre Daten an jedem Transitpunkt sicher.

JW0914
2017-08-29 02:54:23 UTC
view on stackexchange narkive permalink

Ja, die Verwendung von HTTPS gegenüber HTTP bietet einen enormen Vorteil.

  1. HTTP wird nicht über PKI verschlüsselt. Daher werden alle Informationen über Klartext übertragen, der von einem Paket-Sniffer und jedem Gerät, das diese Pakete durchlaufen, gelesen werden kann Sobald sie das Modem verlassen.
  2. Mit HTTP kann man nicht wissen, ob der Eigentümer der Website derjenige ist, von dem er sagt, dass er er ist, und als solcher kann man nicht wissen, ob er einem MITM unterworfen ist Angriff.
    • Aus diesem Grund wird empfohlen, immer HTTPS zu verwenden, wenn eine Website dies anbietet, da nur so ein Benutzer darauf vertrauen kann, dass der Inhalt, den er bereitstellt, nicht manipuliert wurde.
  • Bei Anmeldungen zur Standortverarbeitung wird mit größerer Wahrscheinlichkeit ein Verschlüsselungsschlüssel mit 2048 Bit / Äquivalent verwendet.
    • Bei Verwendung von HTTP können beispielsweise alle Geräte, die diese Pakete durchlaufen, genau lesen, welche Informationen gesendet werden und empfangen (dies schließt Passwörter, Konto-&-CC-Nummern usw. ein); Wenn Sie jedoch HTTPS verwenden, können nur die Header-Informationen gelesen werden.

    Ihre Frage taucht auch häufig bei Router-WebUIs in LANs auf, und obwohl dieser Datenverkehr niemals den lokalen Datenverkehr verlässt Netzwerk sollte weiterhin nur über HTTPS zugegriffen werden, da sonst alle Passwörter, einschließlich der Roots, als einfacher Text gesendet werden.

    • Es spielt keine Rolle, ob nur eine Person auf / zugreift ihr lokales Netzwerk ... Wenn Passwörter / vertrauliche Informationen gesendet / empfangen werden müssen, sollte immer nur über HTTPS darauf zugegriffen werden, insbesondere wenn es nur wenige Minuten dauert, um eine selbstsignierte CA oder CA / ICA zu generieren und verwenden Sie die Zertifizierungsstelle oder ICA, um eine CSR für den Server zu signieren.
Tgr
2017-08-27 13:18:38 UTC
view on stackexchange narkive permalink

Auch wenn Sie sich nicht allzu sehr um die Möglichkeit kümmern, dass Ihr ISP / Ihre Regierung böse ist, gibt es mindestens zwei Angriffe, die leicht gegen Ihre Heimverbindung ausgeführt werden können, sodass nur HTTPS Ihre Daten schützt:

  • Der böse Zwillingsangriff, bei dem jemand einen WLAN-Router mit demselben Namen wie Sie, aber mit einem stärkeren Signal einrichtet, sodass Sie sich stattdessen mit ihm verbinden Ihres eigenen WLAN-Routers (typische WLAN-Einstellungen zu Hause beinhalten nur eine Einwegauthentifizierung - der Laptop beweist seine Identität mit dem Kennwort, der Router muss sich jedoch nicht selbst beweisen).
  • Entführung des Routers Oft einfach - Routersoftware ist in der Regel unsicher und es gibt keinen Sicherheitsaktualisierungsprozess. Sobald eine Sicherheitslücke für Ihre spezifische Routerversion entdeckt wird, bleibt Ihr Router für immer anfällig. Es gibt verschiedene vorgefertigte Tools und sogar automatisierte Malware, die auf Router abzielen. Z.B. dieser Angriff ereignete sich vor einigen Monaten.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...